Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > No category > 2025年にはAI関連法が145本成立。プライバシー担当チームに休む暇なし。

2025年にはAI関連法が145本成立。プライバシー担当チームに休む暇なし。

by Patrick Spencer updated 6月 10, 2026 規制コンプライアンス
Reading Time: 6 minutes

多くのエンタープライズにおけるシャドーAIの議論は、従業員が無許可のツールを利用することに焦点を当てています。しかし、DataGrailの「Privacy and AI Trends Report 2026」は、より根本的な問題を指摘しています。それは、認可されたエンタープライズソフトウェア内に組み込まれたシャドーAIの存在です。AIベンダーの63.6%が自社のサードパーティサブプロセッサーを開示していない場合、これらのツールを利用するすべての組織は、デフォルトでシャドーAIを自社環境に導入していることになります—承認済みかつ稼働中です。

この実態がもたらす現実的な影響として、法的文書がデータフローを正確に記述しているという前提で構築されたデータガバナンスフレームワークは、誤った前提の上で運用されていることになります。サブプロセッサーが明記されていないデータ処理契約では、GDPR分析、HIPAAビジネスアソシエイト契約のレビュー、CMMC 2.0による情報システム境界の評価をサポートできません。組織はデータ処理リスクを評価したと考えていますが、実際には評価できていません。

この状況は、規制産業に特有の問題を引き起こします。たとえば、患者データをAIツールで処理する医療機関が、サブプロセッサーとして未公開のモデル学習サービスを含んでいた場合、違反が発生したことに気付かないままHIPAAに違反している可能性があります。防衛請負業者が、未公開のサブプロセッサーを持つAIシステム経由でCUIをルーティングした場合も、CMMCの境界を越えているにもかかわらず、何の警告も発生しません。リスクが見えないのは、ベンダーがそれを開示しないことを選択したからです。データプライバシーのデューデリジェンスでは、AIサブプロセッサーについて明確に質問し、回答が完全であることを契約上で保証させる必要があります。

5つの重要なポイント

1. 2025年、米国の州議会はAI関連法を145本制定—1,000件以上の法案が提出・改正

プライバシーチームは最大33%の人員削減に直面しつつ、手作業のコンプライアンスプログラムでは対応できない規制のスピードに同時に対応しています。新たな法律ごとに新しいデータ主体の権利や文書要件が生まれ、多くの場合、規制当局による執行とは独立した訴訟リスクをもたらす私的訴訟権も追加されます。コンプライアンス部門が追いつけていないのではなく、根本的に少ないリソースでより多くのことを求められているのです。

2. AIベンダーの63.6%がサードパーティサブプロセッサーを非開示

AI機能を謳う2,400のビジネスソフトウェアプロバイダーのうち、約3分の2が法的文書でAIサブプロセッサーを開示していません。これらの製品を利用する組織は、どこにデータが送られ、どのモデルで学習され、どの保持ポリシーが適用されるのか可視性がないまま、未公開の第三者を経由してAIシステムにデータを流しています。これはベンダーレベルでのシャドーAIであり、法務・調達部門が明確に承認したツール内で稼働しています。データガバナンスのデューデリジェンスでは、すべてのAIサブプロセッサーをベンダーに明示的に列挙させる必要があります。

3. AIシステムの32.8%が少なくとも1つの高リスク活動に関与

機微なデータ処理や自動意思決定は、EU AI法や新興の米国州法で厳格な要件を引き起こします。エンタープライズAI導入の相当部分が、すでに複数の現行フレームワーク下でこれらの要件を満たす状況となっていますが、多くの組織は自社の導入がどのカテゴリーに該当するか正式に評価していません。

4. 2025年、42%の企業がプライバシー懸念からAIプロジェクトを断念

データ層でコンプライアンス要件を強制できるAIインフラを持たない組織は、「コンプライアンスなしで導入する」か「導入しない」かの二者択一を迫られます。42%は導入しない選択をしました。ガバナンスされたAIチャネル—すべてのデータ移動が記録され、すべてのサブプロセッサーが把握され、すべてのアクセス判断が証跡として残るポリシー強制経路—を持つことで、その二者択一に「適法性を担保して導入する」という第三の選択肢が生まれます。

5. カリフォルニア州の2028年宣誓要件は経営層に個人の刑事リスクをもたらす

偽証罪の罰則付きで提出されるプライバシーリスク評価は、コンプライアンスの責任を組織の予算から個人のキャリアへと移します。この枠組みで提出される宣誓は、実際のAIデータフロー—サブプロセッサーを含む—を正確に記述しなければなりません。AIベンダーがサブプロセッサーを隠している63.6%に該当する場合、正確な宣誓書への署名は極めて困難です。GDPRはDPIA要件を通じて同様の責任を長年課してきましたが、米国の経営層も同等の基準を求められる時代となりました。

どのデータコンプライアンス基準が重要か?

Read Now

規制加速と求められる対応

1年間で145本もの法律が制定されるスピードは、ほとんどのコンプライアンスプログラムが想定していないものです。新たな法律ごとにデータ主体の権利、コンプライアンス義務、文書要件が生まれ、多くの場合、規制当局による執行とは独立した訴訟リスクも生じます。

米国州レベルのデータプライバシー法は、厳しく規制された連邦分野以外の組織にとって、国内コンプライアンスの複雑さをもたらす主因となっています。カリフォルニア、テキサス、コロラド、バージニア、コネチカットは、自動意思決定、機微データ処理、消費者権利に関する独自要件を持つ包括的なプライバシーフレームワークを制定しています。DataGrailの調査でAIシステムの32.8%が少なくとも1つの高リスク活動に関与しているという結果は、エンタープライズAI導入の相当部分がすでに複数の現行フレームワーク下で厳格な要件を満たしていることを意味します。

カリフォルニア州の2028年宣誓要件は、リスクを大幅に高めます。偽証罪の罰則付きで経営層が宣誓するプライバシー影響評価は、実際のAIデータフロー—ベンダーの63.6%が開示していないサブプロセッサーを含む—を正確に反映する必要があります。GDPRはDPIA要件を通じてこのモデルを数年前から確立しており、米国の規制当局も同様の論理を採用し始めています。

150万ドルの手作業処理問題

DataGrailの調査によれば、中堅企業はデータ主体からのリクエスト対応に年間150万ドルもの手作業コストを費やしており、適用法が増えるほどこの非効率性は拡大します。新たな法律ごとに消費者の権利(アクセス、削除、訂正、ポータビリティ、オプトアウトなど)が追加され、組織が処理すべきリクエスト数が増加します。新たな法域ごとに、これらの権利を行使できる消費者人口も増えます。

ガバナンスされたAI導入は、この計算式を変えます。AIとのやり取りがポリシー強制チャネルを経由する場合、そのやり取りを記録する監査ログがデータ主体リクエストへの対応インフラとなります。どのAIシステムが、どのポリシー認可のもと、どのビジネス目的で、どのデータを処理したかを正確に証明できる組織は、手作業での再構築なしにアクセス・削除リクエストへ対応できます。AIデータアクセス層でデータ最小化ポリシーを強制することで、そもそもAIワークフローに流入する個人データ量を削減でき、消費者リクエストに応じて開示・削除すべき範囲も縮小します。

Kiteworks AI Data Gatewayは、こうしたポリシー制御とログ記録を強制し、コンプライアンス対応を労働集約的な手作業から運用能力へと変革します。

145本の法律に対応できるAIコンプライアンスプログラムの構築

145本の法律と1,000件超の法案を個別に追跡し、すべて手作業でコンプライアンス対応することは、どのプライバシーチームにも不可能です。この環境を管理する組織は、AIコンプライアンスを法務調査の問題ではなくインフラの問題として捉えています。根本的な要件—データ最小化、アクセス制御、処理の透明性、監査ログ—は、ほぼすべてのプライバシーフレームワークに共通しています。これらの要件を一律に強制するAIガバナンスインフラを構築することで、複数の法律を同時に満たすことができます。

AIにプライバシー・バイ・デザインを適用するとは、機微データがシステムに入る前にガバナンス制御を導入アーキテクチャへ組み込むことを意味します。AI導入内でABACを強制することで、アクセス制御層を提供し、AIシステムが適用される規制要件に沿った条件下でのみ認可されたデータにアクセスできるようにします。GDPRの対象組織では、AIデータアクセスは合法的根拠とデータ最小化要件によって制限されます。CMMC 2.0の対象組織では、AIデータアクセスはCUIの取扱要件によって制限されます。同じABACインフラが両方に対応します。

年間145本もの法規制に対応するには、追加の人員ではなく自動化が不可欠です。今この自動化をAIガバナンスアーキテクチャに組み込む組織は、規制の加速が続く中で構造的な優位性を持つことになります。

AI時代における機密データ保護について詳しく知りたい方は、カスタムデモを今すぐご予約ください

よくあるご質問

AI機能を持つソフトウェア製品の6割以上が、プライバシーポリシーやデータ処理契約に記載されていない第三者AIサービス経由で組織のデータをルーティングしている可能性があります。GDPRでは、処理記録にサブプロセッサーを含める必要があり、DPAで同等のデータ保護基準を義務付けなければなりません。ベンダーがサブプロセッサーを開示していない場合、評価はできません。データガバナンスのデューデリジェンスでは、すべてのAIサブプロセッサーを明示的にベンダーに列挙させ、開示が完全であることを契約で保証させる必要があります。

偽証罪の罰則付きで経営層が宣誓することで、コンプライアンスの責任が組織から個人へ移り、不正確な宣誓書に署名した経営層に個人の刑事リスクが生じます。この枠組みで提出される評価は、実際のAIデータフロー—サブプロセッサーを含む—を正確に記述しなければなりません。AIベンダーがサブプロセッサーを隠している63.6%に該当する場合、正確な宣誓書への署名は極めて困難です。プライバシー影響評価は、もはや単なる事務手続きではありません。

42%の断念率は、組織がAI導入を望みながら、ガバナンスされたインフラなしでは適用されるコンプライアンス要件を満たせなかったという構造的なギャップを反映しています。ガバナンスされたAIチャネルがない組織は、「コンプライアンスなしで導入」または「導入しない」の二者択一を迫られます。ポリシー強制、完全なサブプロセッサーの透明性、包括的な監査証跡を備えたガバナンスチャネルがあれば、適用法の下で実際に防御可能な形で導入するという第三の選択肢が生まれます。

法務調査の問題ではなくインフラの問題として対応しています。文書化されたデータフロー、強制可能なアクセス制御、データ最小化、監査証跡は、ほぼすべての現代的なプライバシーフレームワークに共通しています。これらの要件を一律に強制するAIガバナンスインフラを構築することで、複数の法律を同時に満たすことができます。すべてのAIデータアクセスイベントを記録する監査ログは、データ主体リクエスト対応や規制当局からの問い合わせに対する証拠基盤となり、リクエストごとの手作業コストをほぼゼロにします。

最低限必要なのは、AIシステムが機微データを読み書きする前にポリシー条件を強制するガバナンスされたデータアクセスチャネル、すべてのAIインタラクションを包括的に記録する監査ログ、タスク要件を超えるAIアクセスを防ぐデータ最小化制御、契約上のデータ保護義務を伴うAIサブプロセッサーの完全なインベントリ、そして監査ログを証拠としたデータ主体リクエスト対応プロセスです。Kiteworks AI Data GatewayとCompliant AIフレームワークは、これらを個別のカスタム統合を必要としない統合プラットフォームとして提供します。

追加リソース

  • ブログ記事
    手頃なAIプライバシー保護のためのゼロトラスト戦略
  • ブログ記事
    77%の組織がAIデータセキュリティで失敗している理由
  • eBook
    AIガバナンスギャップ:2025年に91%の中小企業がデータセキュリティでロシアンルーレットをしている理由
  • ブログ記事
    あなたのデータに「–dangerously-skip-permissions」は存在しない
  • ブログ記事
    規制当局は「AIポリシーがあるか」ではなく「機能している証拠」を求めている

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

デモを予約

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks